企業防疫啟動居家上班 四要三不避免營運機密裸奔

為防範新冠肺炎疫情擴大，越來越多部會與企業陸續啟動「居家上班」，透過應用軟體開啟視訊會議取代面對面開會，但專家提醒，透過網路取代實體會議必須留意帳號、密碼與機密文件外洩等問題，透過「四要三不」落實資安控管避免重要資訊因此「裸奔」。

KPMG 表示，四要包括「要」啟用密碼限制參與人員、「要」啟用點對點加密、「要」辨識所有參與會議人員、「要」隨時將遠端會議軟體維持在最新版本；三不則有「不」重複使用相同進入碼與會議室編號 、「不」用不明免費無線網路資源進入遠端會議、「不」隨意啟用會議內容錄影或儲存會議資料功能。

KPMG 安侯企管公司執行副總經理謝昀澤表示，網路遠端會議系統應用可減少群聚感染風險又能維持溝通力，但也要留意資安風險，舉例來說，近期爆發的 ZOOM 的系統漏洞恐引發個資、帳號外洩，甚至回傳加密金鑰到中國等事件，就值得引以為鑑。 

謝昀澤表示，企業使用遠端會議系統前必須先根據遠端會議內容進行分級，例如區分為「普通」、「敏感」與「機密」拿不同等級，透過會議分級讓與會者了解會議機密等級外，也能避免參與會議者忽略會議重要性，在遠端會議上暴露機密性資訊與個資。

KPMG 安侯企管公司資安實驗室主管副總經理林大馗指出，可讓網路遠端會議更放心，其中四要包括，「要」啟用密碼限制參與人員，必要時更可啟用多因子認證 (Multi-factor authentication) 與「要」啟用點對點加密 (End-to-End Encryption, E2EE) 會議內容，避免遭有心人士側錄。

另外，企業還「要」辨識所有參與會議人員，包含匿名加入者 (Anonymous)、一般使用者 (Generic user) 等難以辨別之人員名稱，以及「要」隨時將遠端會議軟體維持在最新版本 (Latest version)，避免漏洞沒被更新。

而三不則有「不」重複使用相同進入碼 (passcode) 及會議室編號 (Meeting ID)、「不」使用不明免費無線網路資源進入遠端會議，以及「不」隨意啟用會議內容錄影與儲存會議資料功能。

謝昀澤提醒，企業必須認知網路遠端會議與一般網路直播本質上大不相同，其中網路直播注重頻寬穩定、參與者眾與分享傳播，但企業的網路會議，則必須確認參與者身分確認、網路傳輸加密、溝通效率，及不得任意分享等事項，避免因遠端工作造成更多的風險議題。